فایروال سیسکو ASA چیست؟ بررسی قابلیت ها و انواع Cisco ASA

سیسکو ASA چیست؟ فایروال معروف ASA سیسکو چه قابلیت هایی دارد؟ سال هاست که سیسکو فایروال اختصاص تولید می کند و در سال های قبل این دستگاه تحت نام PIX روانه بازار می شد. با پیشرفت تکنولوژی سیسکو دستگاه جدیدی را درست کرد که تمام قابلیت های PIX را داشت و علاوه برای آن قابلیت های جدیدی را به آن اضافه کرد و این دستگاه را تحت نام (Adaptive Security Appliance (ASA روانه بازار کرد. قبل از اینکه بخواهید دستگاه را تنظیم و پیکربندی کنید باید با مفاهیم و اصول اولیه آن را فرا گیرید که در این بخش به این مفاهیم پرداخته خواهد شد.

آشنایی با خانواده ASA

فایروال های ASA در اندازه ها و شکل های مختلفی وجود دارند اما همه آنها قابلیت های مشابهی دارند. معمولا دستگاهی که شماره مدل آن پایین تر است توان پایین تری دارد. شماره مدل این دستگاه ها با 55 شروع می شود البته دستگاه هایی از خانواده ASA وجود دارند که بر روی سوئیچ هایی مانند 6500 نصب می شوند یا نسخه مناسب برای محیط های مجازی.

همینطور که در جدول بالا میبینید در جلوی هر مدل نشان داده شده است که برای چه محیط هایی مناسب است.

قابلیت ها و سرویس های ASA

لیست قابلیت ها و ویژگی های ASA به شرح زیر است که بسیاری از آنها را در قسمت های قبلی مورد بحث قرار داده ایم :

• Packet filtering : به وسیله ACL ها فراهم می شود و ASA از ACL های standard و extended پشتیبانی می کند. تفاوتی که در استفاده از ACL در روتر با ASA است این است که در ASA از wildcard mask استفاده نمی شود.
• Stateful filtering
• Application inspection
• (Network Address Translation (NAT
• DHCP : فایروال ASA می تواند به عنوان DHCP Server یا DHCP Client عمل کند.
• Routing : می تواند در مسیریابی شرکت کند.
• پیاده سازی به صورت Layer 3 یا Layer 2
• پشتیبانی از VPN
• Object groups : اشاره به یک یا چند آدرس یا رنج شبکه دارد.
• پشتیبانی از AAA
• Botnet traffic filtering : مجموعه ای از کامپیوترهای های آلوده که توسط یک نفر کنترل می شوند. (به طور مثال 10000 کامپیوتر آلوده که به آنها دستور داده می شود که حجم زیادی از بسته های ping را به یک آدرس مشخص ارسال کنند) کاربران این دستگاه ها از اینکه دستگاه آنها در یک حمله شرکت کرده است بی خبر هستند. ASA با استفاده از یک سیستم خارجی که اطلاعات آن توسط سیسکو ارائه می شود می تواند در برابر این حملات محافظت کند.
• (Advanced malware protection (AMP : فایروال ASA قابلیت های (next-generation firewall (NGFW را فراهم می کند که در آن قابلیت های عمومی فایروال با thread and advanced malware protection در یک دستگاه با هم ادغام شده اند. AMP مدیر شبکه را قادر می سازد شبکه خود را در برابر تهدیدات شناخته شده و پیشرفته محافظت کند.
• High availability : با استفاده از دو فایروال می توانید در برابر مشکلات استفاده از یک دستگاه تنها ، شبکه را محافظت کنید تا اگر یکی از دستگاه ها با مشکل مواجه شد عملکرد شبکه دچار اخلال نشود.

Security Level چیست؟ بررسی مفهوم سطح امنیت در فایروال ASA سیسکو

کاربرد Security Level در فایرول ASA سیسکو چیست؟ Security Level مقداری است که به هر Interface اختصاص داده می شود و درجه اهمیت آنرا مشخص می کند. این مقدار میتواند عددی بین 0 تا 100 باشد . ترافیک TCP و UDP از اینترفیس با Security Level بالاتر می تواند وارد اینترفیس با Security Level پایین تر شود و با توجه به ویژگی Statefull ترافیک درخواستی از Security Level بالاتر از Security Level پایین تر امکان و اجازه پاسخگویی و ورود به Security Level بالاتر را پیدا می کند به عبارتی تنها به ترافیکی از سطح پایین تر اجازه ورود داده می شود که از داخل ان اینترفیس درخواست شده باشد.

غیر از Security Level برای هر اینترفیس یک نام (name if) در نظر می گیریم اگر برای اینترفیس نام inside در نظر گرفته شود به صورت خودکار مقدار Security Level برابر 100 و اگر outside را به عنوان نام اینترفیس انتخاب کنیم مقدار Security Level برابر صفر خواهد شد. به اینترفیس ها می توان یک Security Level یکسان اختصاص داد. به طور پیش فرض ترافیک بین اینترفیس هایی که دارای مقدار Security Level یکسان هستند عبور داده نمی شود

Security Level در فایروال ASA سیسکو عددی بین ۰ تا ۱۰۰ است که میزان اعتماد یک رابط شبکه (Interface) را تعیین می‌کند. سطح ۱۰۰ بالاترین امنیت (معمولاً برای شبکه داخلی) و سطح ۰ کمترین امنیت (معمولاً برای اینترنت) را دارد. ترافیک از سطح بالاتر به پایین‌تر مجاز است، اما برای مسیر برعکس نیاز به دستورات دسترسی (ACL) دارد. در آموزش فایروال، درک این مفهوم برای مدیریت امنیت و کنترل ترافیک شبکه ضروری است.

Transparent Firewall چیست؟ بررسی مفهوم فایروال لایه دو در سیسکو

فایروال Transparent چیست؟ فایروال یک سیستم امنیتی برای شبکه است که به دو صورت سخت افزاری و نرم افزاری موجود است و وظیفه آن کنترل ترافیک ورودی و خروجی براساس سیاست ها و نقش هایی که برای آن تعریف می شود است. فایروال شرکت تحت نام Adaptive Security Applince یا ASA تولید می شود البته ASA علاوه بر فایروال امکانات مانند AntiVirus ، IPS ، VPN و ... را برای ما فراهم می کند. ASA در دو Mode یا حالت Transparent و Routed کار می کند.در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Transparent Mode را بررسی کنیم اما در ابتدا به صورت مختصر Routed Mode را بررسی می کنیم.

Transparent Firewall در سیسکو نوعی فایروال لایه ۲ است که مانند یک Bridge (پل) بین دو شبکه عمل می‌کند و بدون نیاز به تغییر در آدرس‌های IP، ترافیک را فیلتر می‌کند. این فایروال در مسیر داده‌ها قرار می‌گیرد و با استفاده از ACLs، Security Policies و Inspection امنیت شبکه را افزایش می‌دهد. در آموزش فایروال، یادگیری Transparent Firewall برای مدیریت امنیت در شبکه‌های بدون تغییر در توپولوژی حیاتی است. این روش در محیط‌هایی که نیاز به کنترل دقیق ترافیک بدون ایجاد تغییر در زیرساخت IP دارند، کاربرد زیادی دارد. تنظیم آن معمولاً با Cisco ASA و Firepower انجام می‌شود.

Routed Mode چیست؟

به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.0/24 ، اینترفیس 1 به نام inside به شبکه 192.168.200.0/24 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.

Transparent Mode چیست؟

حالت دیگری که ASA می تواند در آن عمل کند Transparent است. در این حالت ASA همانند یک دستگاه لایه دو فعالیت می کند و مانند یک روتر یا Gateway در شبکه دیده نمی شود این حالت استفاده فایروال را قایروال لایه دو یا فایروال مخفی نیز می نامند. چون در این حالت اینترفیس های فایروال IP نمی گیرند در نتیجه قابل شناسایی نیستند و تنها از یک IP آدرس برای ترافیک Management مروبط به خود دستگاه استفاده می شود.نصب و راه اندازی فایروال در حالت Transparent در شبکه به سادگی انجام می پذیرد و شبکه ما را به دو قسمت inside و outside تقسیم می کند بودن اینکه نیاز به تغییر در سیستم آدرس دهی شبکه وجود داشته باشد در شکل زیر نحوی استقرار فایروال در حالت Transparent را نشان می دهد.

در حالت Transparent هر دو اینترفیس inside و outside به یک subnet متصل می شود. به این حالت bump in the wire گفته می شود چون در این حالت ASA شبکه را جدا نمی کند و بخشی از شبکه می شود و ترافیک شبکه مورد بازرسی قرار می دهد و نسبت به سیاست های و نقش های در نظر گرفته شده برای فایروال ، در مورد ترافیک های عبوری تصمیم می گیرد. به این همین دلیل نصب و راه اندازی Transparent mode ساده و آسان است.با اینکه حالت Transparent در لایه دو عمل می کند ترافیک لایه سه تا زمانی که شما به آن اجازه عبور ندهید (با یک ACL) این ترافیک نمی تواند عبور کند. و تنها ترافیکی که بدون ACL اجازه عبور دارد ترافیک مربوط به ARP است. ترافیک ARP را با ARP Inspection می توان کنترل کرد.

• نکته : در حالت Transparent ترافیک CDP اجازه عبور ندارد.

به طور مثال شما می توانید با استفاده از یک ACL ترافیک Routing Protocol هایی مانند OSPF ، EIGRP و ... را از Transparent Firewall عبور دهید ASA در حالت transparent را می توان همانند یک سوئیچ در نظر گرفت که فریم ها را از یک اینترفیس به اینترفیس دیگر منتقل می کند اینکار براساس MAC آدرس فریم انجام می شود. ASA آدرس MAC مبدا و پورتی که روی آن این فریم را دریافت کرده را نگه داری می کند و از این طریق متوجه می شود که برای رسیدن به این MAC آدرس از چه اینترفیس می تواند استفاده کند. با استفاده از این اطلاعات ASA یک جدول تشکیل می دهد و این اطلاعات را در آن نگه داری می کند و با استفاده از این جدول اقدام به ارسال فریم های می کند.

زمانی که یک فریم که MAC مقصد را در جدول خود ندارد چه واکنشی نشان می دهد؟

سوئیچ زمانی که MAC مقصد فریم را در جدول Cam خود پیدا نکند این فریم را روی تمام اینترفیس هایش غیر از اینترفیسی که این فریم را روی آن دریافت کرده ارسال می کند به این امید که مقصد به یکی از پورت هایش متصل باشد.اما ASA همانند سوئیچ اینکار را به سادگی انجام نمی دهد چون به دلیل سیاست های امنیتی امکان ارسال بسته ها محدود شده است. در عوض ASA به منظور پیدا کردن مقصد به یکی از روش های زیر وارد عمل می شود:

• ARP request : زمانی که آدرس IP مقصد در شبکه Local (همان subnet) قرار دارد در نتیجه به ASA از طریق یک شبکه متصل است و ASA اقدام به ارسال یک ARP request می کند و در صورتی که مقصد به آن پاسخ دهد از روی این پاسخ محل استقرار مقصد را متوجه می شود.
• Ping request : زمانی که آدرس IP مقصد در یک شبکه دیگر قرار دارد ASA اقدام به ارسال echo request به مقصد مورد نظر می کند. زمانی که پاسخ توسط روتر یا مقصد پاسخ داده شد. ASA از روی پاسخ دریافتی می فهمد MAC بعدی (next-hop) که از طریق آن به مقصد می رسد چیست و چگونه می تواند به آن برسد.

ASA که نسخه 8.4(1) یا بالاتر را اجرا کند این امکان را دارد که اینترفیس های خود را عضو یک یا چند گروه (bridge group) منطقی کند. هر bridge group به عنوان یک Transparent firewall کاملا مستقل عمل کند. ترافیکی که از یک bridge group عبور می کند نمی تواند وارد bridge group دیگر شود در صورت نیاز به ایجاد ارتباط بین این گروه ها باید از یک روتر خارجی استفاده شود. در فایروال های ASA تا هشت bridge group می توان ایجاد کرد که به هر گروه می توان 2 تا 4 اینترفیس داشته باشد. حداقل هر گروه باید دو اینترفیس داشته باشد که معمولا به نام های inside و outside شناخته می شوند. تصویر زیر نشان دهنده دو bridge group است که به صورت کاملا مجزا از یکدیگر عمل می کنند.

با استفاده از این قابلیت این امکان فراهم می شود که چندین فایروال مستقل داشته باشیم.نسخه های قبل 8.4(1) تنها از یک bridge group پشتیبانی می کنند و از دو اینترفیس برای آنها می توان استفاده کرد که می توان نام های inside و outside را برای آنها در نظر گرفت و اجازه استفاده از اینترفیس سوم را نخواهیم داشت مگر به عنوان پورت Management از آن استفاده کنیم که تنها ترافیک مربوط به خود دستگاه از آن عبور داده شود.

زمانی که ASA چند Security Context دارد برای هر Context می تواند یک یا چند bridge group داشته باشیم. به هر Context می توان اینترفیسی را اختصاص داد که مربوط به Contextهای دیگر نباشد به عبارت دیگر اینترفیس ها نمی توانند بین Context ها مشترک باشند.اینترفیس های فایروال در حالت Transparent باید همه به یک شبکه (subnet) متصل باشند هر چند که بسته های IP بودن محدودیت های لایه دو همچنان بازرسی می شوند. از یک Extended ACL برای بررسی و ارزیابی Policiesهای ، ترافیک استفاده می شود و موتور بازرسی و بررسی ASA می تواند فعالیت های ترافیک را در هر لایه ای مورد بررسی قرار دهد.

• نکته : از نسخه (2)8.0 می توان از NAT در transparent firewall استفاده کرد.

• نکته : قایروال در حالت Routed عمل بازرسی و انتقال ترافیک را فقط براساس بسته های IP انجام می دهد اما در حالت transparent این محدود وجود ندارد چون در لایه دوم عمل می کند و می تواند ترافیک های غیر IP را نیز مدیریت کند. ترافیک های غیر IP را می توان به وسیله یک ACL کنترل کرد.

انتخاب Firewall Mode

قبل از اینکه یکی از دو حالت Routed یا Transparent را برای شبکه خود انتخاب کنیم باید از نقاط ضعف و قوت این دو حالت آگاهی داشته باشیم. در اینجا به صورت خلاصه این ویژگی ها را نام می بریم:

Transparent Firewall Mode :

• زمانی استفاده می شود که بخواهیم ترافیک غیر IP را از آن عبور دهیم.
• نیاز به تغییرات در سیستم آدرس دهی در شبکه ندارد.
• به ازای هر bridge group می توان از 2 تا 4 اینترفیس استفاده کرد.
• از همه ویژگی ها و امکانات ASA نمی توان استفاده کرد مانند Dynamic Routing ، QoS و ...

Routed Firewall Mode :

• زمانی استفاده می شود که فقط بسته های IP را بخواهیم بازرسی کنیم.
• تغییرات در سیستم آدرس دهی شبکه مورد نیاز است.
• همه اینترفیس ها قابل استفاده هستند.
• از تمام امکانات ASA می توان استفاده کرد.

مواردی که در هنگام پیاده سازی حالت Transparent باید در نظر گرفته شود:

• در نظر گرفتن یک IP برای مدیریت فایروال (در صورتی که از چند Context استفاده می شود برای هر Context یک IP در نظر گرفته شود(. بر خلاف حالت Routed که برای هر اینترفیس آن یک IP در نظر گرفته می شود در حالت Transparent فقط یک IP برای خود دستگاه در نظر گرفته می شود و از آن برای ارسال و دریافت ترافیک که مربوط به خود دستگاه است استفاده می شود مانند ترافیک های AAA یا Syslog و ... از این قبیل می باشد. IP در نظر گرفته شده باید در همان Subnet باشد که فایروال به آن متصل است.
• در حالت Transparent تنها از دو اینترفیس آن استفاده می شود که تحت نام inside و outside در نظر گرفته می شود. همچنین امکان استفاده از اینترفیس management وجود دارد ولی باقی اینترفیس ها را نمی توان استفاده کرد.
• IP Management دستگاه را به عنوان Default Gateway دستگاه های شبکه در نظر نگیرید. روش صحیح این است که ِDefault Gateway در سمت دیگر فایروال قرار گیرد تا ترافیک دستگاه های شبکه از آن رد شود.
• در صورت داشتن چند Context برای هر Context باید اینترفیس های مجزا در نظر گرفت و نمی توان یک اینترفیس را برای چند Context استفاده کرد.

Allowed MAC Addresses

MAC آدرس زیر به عنوان مقصد اجازه عبور از Transparent Firewall را دارند. هر MAC آدرسی که در جدول زیر وجود نداشته باشد توسط فایروال Drop می شود:

• MAC مورد استفاده Broadcast که برابر FFFF.FFFF.FFFF
• MAC های Multicast مربوط به IPv4 که از 0100.5E00.0000 تا 0100.5EFE.FFFF می باشد
• MAC های Multicast مربوط به IPv6 که از 3333.0000.0000 تا 3333.FFFF.FFFF می باشد
• Multicast های مربوط به BPDU که برابر 0100.0CCC.CCCD می باشد.
• MAC های Multicast مربوط به AppleTalk که از 0900.0700.0000 تا 0900.07FF.FFFF می باشد

قابلیت ها و ویژگی هایی که در Transparent Firewall نمی توان استفاده کرد:

• NAT / PAT : از این قابلیت نمی توان استفاده کرد

نکته : از نسخه (ASA/PIX 8.0(2 می توان از این قابلیت نیز استفاده کرد.

• پروتکل های مسیریابی دینامیک مانند RIP ، EIGRP ، OSPF : امکان استفاده از Static Route برای ترافیک هایی که توسط فایروال ایجاد می شود وجود دارد اما نمیتوان از پروتکل های مسیریابی دینامیک استفاده کرد و تنها می توان به وسیله ACL ترافیک مربوط به این پروتکل ها را از آن عبور داد.
• IPv6
• DHCP relay : Transparent Firewall می تواند به عنوان DHCP Server عمل کند اما امکان استفاده از آن به عنوان DHCP relay وجود ندارد چون نیاز به استفاده از DHCP relay وجود ندارد و می توان ترافیک DHCP را با استفاده از یک ACL عبور داد.
• (Quality of Service (QoS
• Multicast : جهت عبور ترافیک Multicast از یک Security zone بالاتر به پایین تر و بلعکس باید از ACL استفاده شود.
• VPN termination for through traffic

Port Security چیست و چگونه جلوی حملات را بگیریم؟

در این مطلب با مفهوم Port Security آشنا می شویم و یاد میگیریم که چگونه بوسیله Port Security می توان جلوی حملات را گرفت. در بحث امنیت همیشه حملات و ترافیک مخرب از طریق شبکه خارجی و اینترنت صورت نمی گیرد بلکه بسیاری از حملات و مشکلات امنیتی منشاء آنها شبکه داخلی خود سازمان است و از طریق دستگاه های سازمان صورت می گیرد. Port Security یک قابلیت و امکان امنیتی است که به ما کمک می کند کنترل بسیار مناسبی در لایه دو داشته باشیم و بتوانیم جلوی بسیاری از حملات را بگیریم . Port Security کنترل می کند که چند MAC address روی یک پورت اجازه استفاده دارند.

این ویژگی به صورت پورت به پورت اجرا می شود. معمولا هر کاربر از یک MAC address استفاده می کند مگر اینکه از ماشین مجازی استفاده کند یا یک IP phone داشته باشد در این صورت نیاز به بیشتر از یک MAC address خواهد داشت. در هر صورت ، برای جلوگیری از اینکه کاربر دستگاه های مختلف را به سوئیچ وصل کند می توان از port security استفاده کرد و براساس MAC address این محدودیت برای هر پورت اعمال کرد.همچنین port security می تواند شبکه را در برابر نرم افزارهای مخرب که می توانند هزاران فریم را در شبکه با MAC Address های متفاوت ارسال کنند محافظت کند. با اینکار مهاجم با استفاده از این نرم افزار مخرب جدول MAC سوئیچ را تحت تاثیر خود قرار می دهد ، جدول MAC سوئیچ دارای ظرفیت محدودی است و این ظرفیت با MAC address های جعلی پر می شود.

در نتیجه MAC address های درست سایر تجهیزات نمی تواند در این جدول قرار بگیرد و زمانی که یک فریم به دست سوئیچ می رسد نمی تواند پورت خروجی برای مقصد فریم را پیدا کند و مجبور می شود این فریم را روی تمام پورت های خود ارسال کند و در اینجا مهاجم می تواند با Sniff کردن بسته ها به اطلاعات تمام دستگاه ها دسترسی پیدا کند. این حمله به عنوان CAM table overflow یا MAC Flooding Attack شناخته می شود.همچنین Port security می تواند از DHCP server حافظت کند. یک مهاجم با ارسال هزاران درخواست DHCP با MAC address متفاوت می تواند DHCP pool را خالی کند و سرویس دهی DHCP server را مختل کند و DHCP server دیگر نتواند به سایر دستگاه ها IP اختصاص دهد. به این حمله DHCP starvation گفته می شود.

با فعال کردن Port Security روی یک پورت به صورت پیش فرض یک MAC address می تواند از آن استفاده کند که می توان این MAC address را به صورت دستی یا sticky برای پورت مشخص کرد البته می توان با استفاده از دستور maximum تعداد را افزایش داد. اگر تعداد MAC address های مورد استفاده از پورت ، بیشتر از مقدار مشخص شده بیشتر شود یا MAC address غیر از MAC address مجاز از پورت استفاده کند اقدامی که برای مقابله آن درنظر گرفته شده است به صورت پیش فرض shutdown است که باعث خاموش شدن و در حالت err-disable قرار گرفتن پورت می شود. البته می توان بجای shutdown از حالت های دیگر مثل Protect یا restrict استفاده کرد. در حالت protect پورت را خاموش نمی کند و اجازه عبور را به فریم های مربوط به MAC address های غیر مجاز را نمی دهد. Restrict عملکرد مشابه protect دارد با این تفاوت که log نیز تولید می کند. نحوی اجرای port security در مثال زیر نمایش داده شده است :

SW(config)#interface fastethernet 0/1
SW(config-if)#switchport port-security
SW(config-if)#switchport port-security maximum 3
SW(config-if)#switchport port-security violation restrict
Switch(config-if)#switchport port-security mac-address sticky

همچنین از دستورات زیر برای بررسی وضعیت port security می توان استفاده کرد :

SW#show port-security
SW#show port-security address
SW# show port-security interface fa0/1

چیست و چگونه در سویچ سیسکو فعال می شود؟

در طراحی یک شبکه ، در نظر گرفتن مباحث امنیتی آن دارای اهمیت ویژه است چون در زمان حمله ، شبکه دچار مشکلاتی مختلفی مانند از کار افتادن بخشی یا کل شبکه ، افشاء اطلاعات محرمانه سازمان ، دستکاری در اطلاعات و ... می شود. برای جلوگیری از بروز این حملات ما باید طرح و برنامه درستی برای شبکه خود در نظر بگیریم.

بر اساس طراحی سه لایه ای سیسکو دسترسی ها از طریق لایه Access ایجاد می شود که عمده مشکلات امنیتی به دلیل عدم کنترل این دسترسی ها صورت می پذیرد. در این آموزش ما سعی می کنیم مبحث Port Security را بازگو کنیم که به وسیله این قابلیت تا سطح بسیار زیادی ما می توانیم امنیت شبکه خود را برقرار کنیم. Port Security امنیت شبکه ما را در لایه دوم بهبود می بخشد. Port Security شبکه ما را در برابر حملات زیر محافظت می کند :

• MAC Flooding Attack
• MAC Address Spoofing
• DHCP Starvation

همچنین از دسترسی دستگاه های غیر مجاز به شبکه و ایجاد مشکلات ناشی مانند سرقت اطلاعات و آلوده کردن شبکه و ... جلوگیری می کند.

مکانیزم Port Security

به وسیله Port Security تعداد MAC آدرس هایی که اجازه دسترسی به شبکه دارند به ازای هر پورت را محدود می کنیم. به این صورت مشخص می کنیم از هر پورت چه دستگاه هایی اجازه دسترسی به شبکه دارند و به این صورت دستگاه های ناشناش اجازه دسترسی به شبکه را نخواهند داشت. زمانی که این قابلیت روی سوئیچ فعال شود در صورت اتصال یک دستگاه غیرمجاز به شبکه ، می توان وضعیت های زیر را نسبت به این دسترسی غیر مجاز تعیین کرد:

• Protect
• Restrict
• Shutdown

• نکته : حالت Shutdown پیش فرض می باشد.

1. Protect : در این حالت ترافیک مربوط به دستگاه غیر مجاز Drop می شود.
2. Restrict : همانند حالت قبل ترافیک مربوط به دستگاه غیر مجاز Drop می شود و علاوه بر این Log نیز تولید می کند.
3. ShutDown : سخت گیرانه ترین حالت می باشد که با دریافت ترافیک غیرمجاز پورت مربوطه در حالت Err-Disable قرار می گیرد و پورت خاموش می شود و برای خارج کردن آن از این حالت باید وارد تنظیمات سوئیچ شد و پورت مورد نظر را خاموش و روشن کرد.

• نکته : Port Security را روی پورتی که Access است می توان فعال کرد.

نحوی فعال کردن Port Security

اولین کار قرار دادن پورت در حالت Access است:

Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode access

بعد باید این قابلیت را فعال کنیم:

Switch(config-if)#switchport port-security

سپس MAC آدرس های مجاز را تعیین می کنیم که به دو صورت امکان پذیر است :

• به صورت دستی

Switch(config-if)#switchport port-security mac-address AD49.FB36.3596

• استفاده از ویژگی Sticky

Switch(config-if)#switchport port-security mac-address sticky

• نکته : در حالت sticky نیاز به وارد کردن MAC ادرس نیست و سوئیچ MAC ادرس را از روی اولین بسته دریافتی برمیدارد.

تعیین یکی از سه حالت موجود :

Switch(config-if)#switchport port-security violation portect

تعیین تعداد دستگاه های مجاز جهت استفاده از پورت:

Switch(config-if)#switchport port-security maximum 2

• نکته : پیش فرض مقدار یک است و تا 132 می توان انرا مقداردهی کرد.

جهت مشاهده و بررسی تنظیمات از دستورات زیر استفاده می کنیم:

Switch#show port-security 
Switch#show port-security address

• نکته : در صورتی که بخواهیم MAC آدرس هایی که از طریق Sticky آنها را پیدا کرده ایم را حذف کنیم از دستورات زیر استفاده می کنیم:

Switch#clear port-security all
Switch#clear port-security sticky interface fastEthernet 0/1

چرا از Port Security استفاده کنیم؟ به همراه روش راه اندازی 

چرا از پورت سکیوریتی استفاده کنیم؟ دلایل استفاده از Port Security چه هستند؟ چگونه Port Security را در سویچ سیسکو راه اندازی کنیم؟ در گذشته امنیت شبکه داخلی مشکل چندان مهمی نبود اما با گذر زمان، نیاز به برقراری امنیت در شبکه های داخلی بیش تر از پیش حس شد. ظهور پدیده هایی نظیر شبکه های بی سیم و فناوری VoIP باعث شد تا مهندسین شبکه به فکر برقراری هرچه بیشتر امنیت در شبکه داخلی باشند.از سوی دیگر، کاربران دیگر مانند گذشته آنچنان قابل اعتماد نیستند و با در دسترس بودن ابزار های Sniffing و افزایش یافتن دانش کاربران ، این امکان وجود دارد اطلاعات در حال انتقال ما به سرقت روند.

Port Security یک ویژگی امنیتی در سوییچ‌های شبکه است که برای کنترل دسترسی به پورت‌های فیزیکی استفاده می‌شود.با استفاده از این ویژگی، می‌توان تعداد یا آدرس‌های MAC مجاز برای اتصال به هر پورت را محدود کرد.این روش از حملاتی مانند MAC flooding جلوگیری کرده و دسترسی غیرمجاز به شبکه را کاهش می‌دهد.
تنظیمات مربوط به Port Security معمولاً از طریق دستورات CLI در تجهیزات شبکه انجام می‌شود.در آموزش هک، شناخت و استفاده از Port Security نقش مهمی در دفاع از شبکه و پیشگیری از حملات سایبری دارد.

دلایل استفاده از Port Security

افزایش استفاده از دستگاه های موبایل مانند گوشی های تلفن همراه، تبلت و نوت بوک ها ، باعث شده، امروزه شاهد این باشیم که شبکه های بی سیم به جزیی جدایی ناپذیر از ساختار شبکه های محلی سازمان ها تبدیل شده است. این شبکه های در مقایسه با شبکه های معمولی از امنیت پایین تری برخوردار هستند. حتی روش های امنیتی جدید و قوی ای مانند WPA2 ، در مقابل حملات Brute Force و Dictionary آسیب پذیر هستند و مهاجمتن می توانند با استفاده از ابزار های خاص ،از طریق شبکه های بی سیم به شبکه داخلی ما نفوذ کرده و اطلاعات و سرویس های ما را در معرض خطر قرار دهند.

از طرف دیگر ما شاهد رواج یافتن یکی دیگر از پدیده های دنیای IT به نام VoIP هستیم. اگر کمی در این زمینه اطلاع داشته باشید ، حتما می دانید که همانند شکل زیر ما IPphone ها و کامپیوتر ها را به سویچ متصل می کنیم. سابقا برای این کار بین سویچ و IPphone یک Trunk برقرار می کردیم تا دیگر نیازی به دو اتصال جداگانه برای IPphone و رایانه نیازی نباشد. اما فرد متهاجم می تواند از این Trunk Link استفاده کرده و اطلاعات کاربر را می توانست سرقت کند.

همچنین فرد مهاجم می تواند با اتصال به شبکه داخلی و فرستادن هزاران MAC Address به سویچ ، اقدام به پر کردن CAM Table آن کرده ( به این حمله CAM Table Flood می گوییم) و در نتیجه آن سویچبه یک هاب تبدیل شده و هکر می تواند تمامی اطلاعات در حال انتقال را Sniff کند.یکی از بهترین روش ها برای امن کردن شبکه های داخلی و جلوگیری از این حملات،استفاده از Port Security است. پروسه ای که شاید راه اندازی آن کمی دشوار باشد اما تا حدود بسیار زیادی امنیت شبکه داخلی ما را افزایش می دهد. در ادامه با این روش بیشتر آشنا می شویم.

بررسی و تنظیمات پورت سکیوریتی

با استفاده از Port Security در واقع ما به سویچ می گوییم که فقط و فقط اتصلات را از MAC Address هایی که ما تعیین می کنیم بپذیر. در نتیجه این کار، در صورتی که فرد مهاجم بتواند به تجهیزات شبکه داخلی ما دسترسی داشته باشد باز هم نمی تواند وارد شبکه داخلی ما شود.در حالت کلی Port Security در سه حالت زیر کار می کند:

1. Dynamic : حالت معمولی که تمام MAC Address ها یاد می گیرد و اجازه اتصال می دهد.
2. Static : تنها به MAC Address هایی که ما تعیین می کنیم اجازه دسترسی می دهد.
3. Sticky : به صورت اتوماتیک MAC Address ها را ثبت می کند با این تفاوت که این تعداد آدرس ها ثبت شده محدود هستند.

سوالی که این جا پیش می آید این است که اگر یک دستگاه با MAC Address غیر مجاز به شبکه متصل شود چه اتفاقی می افتد. جواب این سوال در تعریف Violation Mode ها هستند. Violation Mode ها در واقع عملی هستند که سویچ در مقابله با اتصال یک دستگاه با MAC Address غیر مجاز انجام می دهند که شامل سه حالت زیر هستند:

1. Shutdown : پورت را خاموش می کند.
2. Restrict : بسته ها را drop می کند و همچنین شمارنده Security Counter را اضافه می کند( به نوعی log ثبت می کند).
3. Protect : تنها بسته ها را drop می کند اما هیچ log ای را ثبت نمی کند.

پر واضح است که بهترین روش ، Shutdown است.برای پیاده سازی Port Security ابتدا وارد Global Configuration می شویم. سپس وارد اینترفیس ای می شویم که می خواهیم این قابلیت را برای آن پیاده سازی کنیم:

Switch#Configure Terminal
Switch(config)#Interface Fastethernet 0/1

این اینترفیس را بر روی حالت Access قرار می دهیم.

Switch(config-if)#Switchport mode access

با دستور زیر قابلیت Port Security را فعال می کنیم:

Switch(config-if)#switchport port-security

با دستور زیر حالت Port Securty را بر روی Sticky قرار می دهیم.

Switch(config-if)#switchport port-security mac-address sticky

همچنین با دستور زیر می توانیم به صورت Static مک ادرس را ثبت کنیم:

Switch(config-if)#switchport port-security mac-address <MAC Address>

دستور زیر تعداد مک ادرس هایی که سویچ می تواند از این اینترفیس یاد بگیرد را تعیین می کند:

Switch(config-if)#switchport port-security maximum 2

با دستور زیر Violation Mode را تعیین می کنیم:

Switch(config-if)#switchport port-security violation shutdown  

دستورات مشاهده تنظیمات :

Switch#show port-security interface fastEthernet 0/1
Switch#show port-security address 
Switch#show interfaces status

نکته: در صورت Shut Down شدن یک اینترفیس به دلیل نقض Port Security شما باید وارد آن اینترفیس بروید و یک بار آن را خاموش و روشن کنید.

نکته: با دستور زیر می توانید این کار را به صورت خودکار انجام دهید:

Switch(config)#errordisable recovery cause psecure-violation
Switch(config)#errordisable recovery interval <time>

مشاهده تنظیمات مربوط به errordisable:

Switch#show errordisable  recovery

پورت سکیوریتی چیست؟ و چه کاربردی دارد؟

Port Security همونجور که از اسمش هم پیداست یک مساله امنیتی می باشد و در مراکز خاص و امنیتی میتونه خیلی مفید و پر کاربرد باشه .با چند مثال ساده شروع میکنم .فرض کنید شما شبکه ی کوچکی دارید و 10-15 تا کامپیوتر به یک سوئیچ متصل شدند و دارن کار میکنند . از لحاظ امنیتی واستون مهم نیست چه دستگاهی به پورت هاتون متصل باشه فقط تنظیمات نرم افزاری درست باشه و IP در رنج مناسب داشته باشید ، دستگاه متصل شده و کار میکنید .

دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) ومدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزشی سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است.

مدل سه لایه یا three layer model در سیسکو چیست

زمانی که طراحی شبکه مورد بحث قرار می گیرد دسته بندی شبکه براساس تعداد دستگاه های سرویس گیرنده به ما در طراحی کمک زیادی می کند.طراحی شبکه به اندازه و نیاز سازمان وابستگی زیادی دارد. به طور مثال بستر مورد نیاز برای یک شبکه کوچک با تعداد محدودی دستگاه نسبت به یک شبکه بزرگ با تعداد قابل توجهی دستگاه بسیار متفاوتر می باشد.متغییرهای زیادی در زمان طراحی شبکه باید در نظر گرفته شود.شبکه را براساس تعداد دستگاه های سرویس گیرنده به سه دسته تقسیم می کنند:

• Small Network : شبکه هایی با حداکثر 200 سرویس گیرنده
• Medium-Size Network : شبکه هایی با 200 تا 1000 سرویس گیرنده در این دسته قرار می گیرند.
• Large Netwok : شبکه هایی با بیش از 1000 سرویس گیرنده

اصول مهندسی در زیرساخت سیسکو به چه شکل است؟

بدون در نظر گرفتن مسائل مرتبط با اندازه و نیاز شبکه ، اجرای موفق طراحی شبکه نیاز به پیروی از اصول مهندسی در زیرساخت دارد. مدل سه لایه سیسکو اصول زیر را شامل می شود.

• Hierarchy : این طراحی سلسله مراتبی به طراح کمک می کند که یک شبکه مطمئن را طراحی کند و مشکلات پیچیده طراحی را راحت تر و قابل مدیریت تر کند.
• Modularity : طراحی ماژولار که باعث می شود عملکرد بخش های مختلف موجود در شبکه به صورت یک ماژول عمل کند و به این صورت طراحی ساده تر می شود. سیسکو جندین ماژول را معرفی کرده که شامل دیتاسنتر ، لبه اینترنت ، بلوک سرویس دهی و بخش Campus می باشد.
• Resiliency : شبکه باید بتواند در شرایط عادی و غیرعادی به کار خود ادامه دهد. در شرایط عادی ترافیک براساس انتظار ما جریان دارد ولی شرایط غیر عادی زمانی است که یک سخت افزار یا نرم افزار ما دچار مشکل شود یا ترافیک زیادی وارد شبکه شود یا حمله هایی مانند DoS ایجاد شود.
• Flexibility : شبکه طراحی شده باید توانایی تغییرات را داشته باشد به طور مثال یک سرویس به این شبکه اضافه شود یا توان شبکه را افزایش دهیم این تغییرات باید بودن ایجاد وقفه در عملکرد و اختلال در سرویس دهی صورت پذیرد.

در طراحی مدل سه لایه ای سیسکو ، تجهیزات در سه لایه زیر گروه بندی می شوند:

1. Access
2. Distribution
3. Core

مدل سه لایه ای سیسکو به لحاظ مفهومی مشابه مدل هفت لایه OSI است. به طور کلی طراحی لایه ای بسیار مفید است چون هر دستگاه در هر لایه وظیفه و عملکرد مشخصی دارد که این ویژگی باعث میشود که حذف ، اضافه ، جایگزینی بخشی از شبکه به راحتی قابل انجام باشد. این انعطاف پذیری و سازگاری باعث می شود این مدل بسیار مقایس پذیر و قابل گسترش شود.

لایه Access در طراحی سه لایه سیسکو به چه معناست؟

در محیط LAN ، از طریق لایه Access اجازه دسترسی End Deviceها به شبکه ، داده می شود و در محیط WAN ، دسترسی به شبکه از راه دور داده می شود.معمولا در لایه Access از سوئیچ های لایه دوم و Access Pointها برای ایجاد دسترسی بین کلاینت ها و سرور استفاده می شود.

برخی از وظیفه Access در ساختار سلسله مراتبی سیسکو

• سوئیچنگ لایه دوم
• دسترسی بالا و بدون وقفه
• Port Security
• QoS
• بررسی بسته های ARP
• Access Control Lists
• Spanning Tree
• Vlan
• Power over Ethernet(PoE)

لایه Distribution در طراحی سه لایه سیسکو به چه معناست؟

این لایه بین لایه Access و Core قرار دارد و دیتا ارسالی توسط کاربر را از لایه Access به سمت لایه Core هدایت می کند. نوع ارتباطات در این لایه از نوع کابلی می باشد. برای جلوگیری از سرایت مشکلات احتمالی در شبکه LAN با استفاده از روتر یا سوئیچ Multilayer ، بین لایه Access و Core یک مرز ایجاد می کند.

برای درک بهتر مفاهیم سیسکو به دوره آموزش CCNA سیسکو جامع ( CCNA Routing and Switching ) مهندس قنبری یکی از کاملترین دوره های آموزشی سیسکو ( CCNA ) می باشد که با ده ها کارگاه عملی و توضیحات جامع به زبانی ساده و روان تدریس شده است.

مدرک CCNA روتینگ و سویچینگ سیسکو اولین گواهینامه دوره های آموزشی سیسکو به حساب می آید که شما را با تجهیزات زیرساختی سیسکو مثل روترها و سویچ ها و نحوه کار با آنها به خوبی آشنا می کند. شما با گذران این دوره CCNA Routing and Switching سیسکو دیگر نیازی به هیچ منبع آموزش سیسکو نخواهید داشت.پیشنیاز دوره آموزشی CCNA سیسکو ، دوره آموزش نتورک پلاس است

برخی از وظایف لایه Core  در ساختار سلسله مراتبی سیسکو

• سوئیچنگ با سرعت بالا
• قابلیت اطمینان و تحمل خطا
• پرهیز از هرگونه پردازش اضافه روی بسته ها که باعث درگیر کردن CPU شود مانند مسائل امنیتی مثل inspection یا مواردی مثل QoS